TaoTheReaper/detection-engineering-playbook

# 检测工程手册    ## 概述 这是一个结构化的 Atomic Red Team 测试执行集合，并与自定义的 Sigma 检测规则和 SIEM 查询语句相匹配。每种技术包括：测试过程、预期日志输出、检测规则和误报分析。 ## 项目初衷 检测工程是威胁情报与 SOC 运营之间的桥梁。本手册展示了像攻击者一样思考、执行可控模拟以及将这些知识转化为可操作的检测的能力。 ## 覆盖矩阵 | 技术 | MITRE | ART 测试 | Sigma 规则 | 已测试 | |-----------|-------|----------|------------|--------| | PowerShell 执行 | T1059.001 | T1059.001-1 | [链接](techniques/T1059.001-powershell/sigma-rule.yml) | ⬜ | | 计划任务 | T1053.005 | T1053.005-1 | [链接](techniques/T1053.005-scheduled-task/sigma-rule.yml) | ⬜ | | 凭据转储 (LSASS) | T1003.001 | T1003.001-1 | — | ⬜ | | 注册表 Run 键 | T1547.001 | T1547.001-1 | — | ⬜ | | *(更多内容 forthcoming)* | | | | | ## 目录结构 ``` techniques/ └── T1059.001-powershell/ ├── test.md — how to run the ART test ├── sigma-rule.yml — detection rule ├── splunk-query.md — SIEM query └── screenshots/ — evidence from lab ``` ## 环境设置 ``` # 安装 Atomic Red Team (Windows, 以管理员身份运行) IEX (IWR 'https://raw.githubusercontent.com/redcanaryco/invoke-atomicredteam/master/install-atomicredteam.ps1' -UseBasicParsing) Install-AtomicRedTeam -getAtomics # 运行测试 Invoke-AtomicTest T1059.001 -TestNumbers 1 # 验证检测 Invoke-AtomicTest T1059.001 -TestNumbers 1 -Cleanup ``` ## 经验总结 - 在编写规则之前先在实验室环境中运行 ART 测试，可以准确揭示日志中出现的字段和值——无需凭空猜测 - 许多默认的 SIEM 告警具有较高的误报率；调优需要对基线有深入的了解 - 除非启用了特定的审计策略，否则某些技术不会留下任何日志——检测盲区本身即是一项发现

标签：AI合规, AMSI绕过, Atomic Red Team, Cloudflare, MITRE ATT&CK, OpenCanary, PowerShell执行, SIEM查询, Sigma规则, 凭证转储, 威胁检测, 安全测试, 安全运营, 实验室手册, 扫描框架, 攻击性安全, 攻击模拟, 数据展示, 数据泄露检测, 注册表启动项, 目标导入, 红队, 网络安全, 覆盖矩阵, 计划任务, 隐私保护, 驱动签名利用